Recherche d'informations en source ouverte :
les meilleures techniques de Due Diligence


28 juin 2022 - IHEDN

Rafaelle de La Tullaye.png

Bonjour à tous!

Merci pour votre accueil, votre bonne humeur et votre participation active lors de notre session hier! Comme convenu, voici ci-dessous quelques pistes pour poursuivre notre apprentissage des meilleures techniques de due diligence. 
Au plaisir de vous recroiser à l'avenir!

Bien cordialement, 

Rafaëlle


 

A quoi ressemblait Google en 1998? 

google.JPG

Pour les amateurs d'Histoire digitale, pour les fans de design rétro, et, surtout, pour ceux qui sont curieux de savoir ce que disait son nouveau fournisseur / son potentiel client / sa future acquisition  il y 10 ans sur son site (ainsi que pour dénicher tout un tas d'informations plus largement diffusées dans les débuts d'Internet : organigrammes, courriels et numéros de téléphone des employés, etc.), la Wayback Machine est un incontournable: https://archive.org/web/
A rajouter dans vos favoris!


 

Pourquoi s'intéresser à l'OFAC?

ofac.png

Votre organisation doit veiller à se conformer aux sanctions économiques édictées par l'Union européenne et les pays dans lesquels vous disposez d'un établissement. Cependant, même si vous n'êtes pas liés aux Etats-Unis, les Etats-Unis sauront établir un lien avec vous (vos serveurs sont aux Etats-Unis, ou vous utilisez le dollar dans vos transactions, etc.) si vous ne respectez pas leurs propres sanctions, qui ne sont pas toujours les mêmes que les nôtres. L'OFAC est le bras armé de ce que certains appellent une "extorsion" extraterritoriale de la part des américains. Pour vous faire peur, vous pouvez jeter un oeil à l'historique des amendes infligées: 
https://home.treasury.gov/policy-issues/financial-sanctions/civil-penalties-and-enforcement-information
Une raison supplémentaire de "screener" régulièrement vos clients et leurs opérations (KYC!), et leurs liens éventuels avec Cuba, l'Iran, etc. 

 

Que faire pour passer le temps? 

Capture1.JPG

S'abonner aux publications de Julien Metayer et participer à ses challenges OSINT hebdomadaires. 
Pour les fainéants comme moi, au pire, contentez-vous de lire le corrigé qu'il publie le vendredi pour apprendre sa méthodologie! 

 

Comment éviter d'être ethnocentré dans son enquête?

hootsuite.JPG

En lisant chaque année le rapport d'Hootsuite sur les pratiques digitales (pour 2022, il est ici: https://wearesocial.com/fr/blog/2022/01/digital-2022/) , qui permet de se rappeler que notre usage d'Internet (Google + LinkedIn + Instagram + Facebook + Tiktok) ne correspond pas nécessairement aux pratiques des contrées dans lesquelles vous réalisez votre due diligence.

Pourquoi le SOCMINT est-il de moins en moins exploitable en due diligence? 

Le phénomène de balkanisation des réseaux sociaux éparpille les informations autrefois concentrées chez quelques mastodontes (LinkedIn, Facebook, etc.). Pour s'en convaincre, je vous invite à jeter un oeil à cette liste: https://makeawebsitehub.com/social-media-sites/
Cela n'empêche pas de regarder malgré tout "Selfie Soldier", un documentaire de Vice qui avait particulièrement marqué à l'époque (2016) puisque son auteur avait réussi, uniquement à partir des publications d'un soldat russe sur VK (l'équivalent de Facebook en Russie), en analysant les arrière-plans de photos pourtant bénignes à première vue, de prouver la présence des troupes russes en Ukraine à une époque où elle n'y était officiellement pas (encore). 

Pourquoi faut-il parfois faire l'effort
"d'aller sur place" pour faire sa due diligence? 

Le documentaire "The China Hustle" est une excellente piqûre de rappel: il faut parfois se rendre sur place pour vraiment savoir avec qui on traite. Les plaies de la crise des subprimes de 2008 ne sont toujours pas refermées que déjà Wall Street s’engouffre dans un nouveau leurre: celui de la croissance chinoise « miraculeuse ». En fusionnant avec des entreprises coquilles aux Etats-Unis, des PME chinoises douteuses
parviennent à accéder aux marchés financiers américains. Portés par de fastueuses campagnes de relations publiques, et des marionnettes
prestigieuses comme le général Wesley Clark, jouant sur les ambiguïtés d’un marché chinois aux règles mal comprises par les investisseurs de
l’Ouest, ces investissements deviennent la nouvelle ruée vers l’or de Wall Street. Pour confirmer ses soupçons, le short-seller Dan David n’y va pas par quatre chemins et va rendre visite aux PME chinoises directement sur place, révélant l’ampleur de cette fraude grotesque. Un excellent documentaire qui devrait vous donner envie d'aller rendre une petite visite de courtoisie aux recoins les plus exotiques de votre organisation...

Comment retrouver les métadonnées d'une photo?

Plusieurs sites permettent de le faire directement en ligne. Parmi les plus connus: 
https://fotoforensics.com/
http://exif-viewer.com/

A rajouter dans vos favoris!

Pourquoi faut-il parfois faire l'effort
de passer un coup de fil pour faire sa due diligence?

Vous souvenez-vous de Bernard Madoff et de son schéma de Ponzi de plusieurs décennies, une fraude gigantesque dépassant les 50 milliards de dollars ayant causé la ruine de milliers d'investisseurs? 
Bernard Madoff avait été audité par la Securities and Exchange Commission (SEC). Lors de son contrôle, on lui avait demandé un détail de routine: son numéro de DTC (Depository Trust Company ). La DTC est une chambre de compensation une "clearing house" américaine - en Europe, vous connaissez sans doute Euroclear et Clearstream. Tous les fonds d'investissement ont un compte dans une chambre de compensation et transitent par elle lors de leurs transactions. Sauf que Bernard Madoff n'investissait pas l'argent de ses clients, il se contentait de l'empocher sur son compte personnel. Bref, il n'avait pas besoin d'une chambre de compensation, et donc il n'avait pas de compte, ni de numéro de compte. Lors de son audit par la SEC, il a donc inventé un numéro totalement faux "qu'une simple secrétaire, par un simple coup de fil, aurait pu vérifier avec la DTC". Ce simple coup de fil aurait pu faire tomber toute sa supercherie plusieurs années avant sa chute.
J'en profite pour vous recommander la mini-série Madoff avec Richard Dreyfuss (2016), vous pourrez en juger à chaque épisode: le scandale Madoff, c'est en fait une histoire de série de due diligences manquées, et manquées de façon caricaturale. 

Pour aller plus loin en WEBINT...

En googlisant, vous trouverez de nombreuses listes d'outils disponibles en ligne (par exemple ici: https://github.com/jivoi/awesome-osint#) et qui vous permettront d'affiner vos techniques. Impossible de les lister tous ici - ni même d'en lister les plus importants - car il s'agit de micro-applications destinées à des recherches très précises: par exemple, une recherche historique sur un réseau social en particulier. Il faudra donc piocher dans ces listes au gré de vos travaux de due diligence. Une remarque également: les historiens spécialisés en histoire digitale sont également d'excellents producteurs d'outils pour "scrapper" le web, ils peuvent être de bonnes ressources pour trouver des outils utiles selon vos besoin (un exemple ici: https://shsulibraryguides.org/digitalhistory/tools). 

Et enfin, pour télécharger la présentation d'hier, c'est ici.

Merci à tous et bonne due diligence!